Recientemente, nuestros investigadores descubrieron ataques dirigidos sofisticados contra instituciones diplomáticas y ONGs en Asia, Europa y África. Hasta donde podemos decir, todas las víctimas estaban relacionadas con Corea del Norte de una u otra manera, ya sea por actividades sin fines de lucro o por nexos diplomáticos.
Los atacantes utilizaron un sofisticado marco de trabajo de ciberespionaje modular que nuestros investigadores denominaron MosaicRegressor. Nuestra investigación reveló que en algunos casos el malware ingresó en las computadoras de las víctimas mediante UEFIs modificados, un evento extremadamente infrecuente en el malware activo. Sin embargo, en la mayoría de los casos, los atacantes utilizaron spear-phishing (phishing dirigido), un método más convencional.
¿Qué es UEFI y por qué el bootkit es peligroso?
UEFI, al igual que BIOS (al cual sustituye), es un software que funciona al encender la computadora, incluso antes de que arranque el sistema operativo. Además, se almacena no en el disco duro, sino en un microprocesador en la tarjeta madre. Si los cibercriminales modifican el código de UEFI, pueden utilizarlo el envío potencial de malware al sistema de una víctima.
Y eso es exactamente lo que encontramos en la campaña ya descrita. Por si fuera poco, al crear su firmware de UEFI modificado, los atacantes utilizaron el código fuente de VectorEDK, un bootkit del Hacking Team que se filtró en la web. Si bien el código fuente estaba a disposición del público en 2015, esta es la primera prueba que vemos de su uso por parte de los cibercriminales.
Cuando el sistema inicia, el bootkit coloca el archivo malicioso IntelUpdate.exe en la carpeta de arranque del sistema. El archivo ejecutable descarga e instala otros componentes de MosaicRegressor en la computadora. Incluso si se detecta este archivo malicioso, debido al relativo aislamiento de UEFI resulta casi imposible de eliminar. No sirve de nada borrarlo ni reinstalar el sistema operativo por completo. La única manera de resolver el problema es reprogramando la tarjeta madre.
¿Cuán peligroso es MosaicRegressor?
Los componentes de MosaicRegressor que lograron infiltrarse en las computadoras de las víctimas (ya sea mediante un UEFI comprometido o mediante phishing dirigido) se conectaron con los servidores de su centro de mando y control, descargaron módulos adicionales y los ejecutaron. Después, estos módulos se usaron para robar información. Por ejemplo, uno de ellos envió los documentos recientemente abiertos a los cibercriminales.
Se usaron varios mecanismos para comunicarse con los servidores de mando y control: la biblioteca de cURL (para HTTP/HTTPS), la interfaz del servicio de transferencia inteligente en segundo plano (BITS), la interfaz de programación WinHTTP y los servicios de correo electrónico gratuito que usan los protocolos POP3S, SMTPS o IMAPS.
Esta publicación en Securelist proporciona un análisis técnico más detallados del marco de trabajo malicioso de MosaicRegressor, junto con indicadores de compromiso.
Cómo protegerte de MosaicRegressor
Para protegerte contra MosaicRegressor, la primera amenaza a neutralizar es el spear-phishing, pues es así como comienza la mayoría de los ataques sofisticados. Para lograr una protección informática de los empleados, te recomendamos usar una combinación de productos de seguridad con las tecnologías avanzadas antiphishing y formación para fomentar la concientización de los empleadosacerca de los ataques de este tipo.
Nuestras soluciones de seguridad detectan módulos maliciosos cuya misión es el robo de datos.
En cuanto al firmware comprometido, desafortunadamente no sabemos cómo es que el bootkit penetró en las computadoras de las víctimas. De acuerdo con información de la filtración del HackingTeam, probablemente los atacantes necesitaron acceso físico y utilizaron una unidad USB para infectar las máquinas. Sin embargo, no se pueden descartar otros métodos de vulneración de UEFI.
Sigue estos pasos para protegerte contra el bootkit UEFI de MosaicRegressor:
- Revisa el sitio web del fabricante de tu computadora o tarjeta madre para saber si tu hardware es compatible con Intel Boot Guard, el cual evita la modificación no autorizada del firmware
- Usa el cifrado de disco completo para evitar que un bootkit instale su carga nociva.
- Usa una solución de seguridad confiable que pueda escanear e identificar las amenazas de este tipo. Desde el 2019, nuestros productos han sido capaces de encontrar amenazas ocultas en el ROM BIOS y el firmware De hecho, nuestra tecnología dedicada Firmware Scanner detectó originalmente este ataque.